Thema: BSI diverses ...

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Empfehlungen für eine sichere Konfiguration von Windows-Computern veröffentlicht, nicht alle sind hilfreich. Zudem wird fleißig Werbung für Regierungsprojekte gemacht.

Am 7. Februar 2012 ist der Safer Internet Day und aus diesem Anlass hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zwei Webseiten veröffentlicht, die Empfehlungen zur Absicherung von Windows-Computern geben. Eine Version richtet sich an Privatanwender, die andere an Selbständige und kleine Firmen. Beide Sicherheitsempfehlungen enthalten sinnvolle Angaben, geben aber auch fragwürdige sowie veraltete Hinweise. Und manche Sicherheitsratschläge fehlen einfach. Dafür gibt es viel Werbung für regierungseigene Projekte.

Sinnvolle Ratschläge

Zu den sinnvollen BSI-Empfehlungen zählt der Ratschlag, Benutzerkonten nur mit eingeschränkten Rechten zu nutzen. Allerdings verzichtet das BSI darauf, eine Anleitung dazu mitzuliefern. Bei der Browserwahl empfiehlt das BSI Googles Chrome-Browser, weil dieser aufgrund der Sandbox-Technik derzeit am besten mögliche Attacken abwehrt. Zudem werden Sicherheitslücken im Browser bei Chrome oftmals zügig beseitigt.

Auch wird geraten, einen aktuellen Virenscanner zu verwenden - was eine Selbstverständlichkeit sein sollte. Für Privatkunden werden drei Gratisvirenscanner gelistet, so dass sich der Nutzer den passenden herauspicken kann. Für Unternehmen mit bis zu fünf Computern wird Microsofts kostenloses Security Essentials genannt. In beiden Dokumenten fehlt eine Übersicht über die gebräuchlichen kostenpflichtigen Antiviren-Applikationen. Immerhin ist der Hinweis sehr deutlich hervorgehoben, immer nur ein Antivirusprodukt zu verwenden und diese nicht parallel zu betreiben.

BSI liefert nur Hinweise, keine Anleitungen

Der Hinweis, dass auf Java verzichten sollte, wer es nicht braucht, ist ebenfalls durchaus sinnvoll. Das BSI empfiehlt zudem, bei mobilen Systemen die Festplattendaten zu verschlüsseln. Dafür fehlt jeder Hinweis zur Gefahr von Adobes Flash und der Notwendigkeit dieses regelmäßig zu aktualisieren. Ferner fehlt ein Hinweis darauf, die Wiedergabe von Flash-Inhalten im Browser abzuschalten. Sehr werbelastig wirken dann die BSI-Hinweise zu den Regierungsprojekten E-Personalausweis und De-Mail.

BSI kennt Libreoffice nicht

Das BSI gibt auch Softwareempfehlungen, von denen einige gerade aus Sicherheitsaspekten seltsam anmuten. So wird als freie Office-Suite noch Openoffice empfohlen, obwohl Libreoffice hier eindeutig die bessere Wahl ist. Denn Libreoffice wird als Openoffice-Ableger bereits seit Monaten besser gepflegt und aktueller gehalten als Openoffice. Als kostenpflichtige Office-Lösung kennt das BSI nur Office von Microsoft, Konkurrenten wie etwa Softmaker werden nicht genannt - Microsoft wird es freuen.

Für die Darstellung von PDF-Dateien wird der Adobe Reader X empfohlen, der durch die Sandbox-Technik glücklicherweise nicht mehr so anfällig für Attacken ist wie die Vorversionen. Gänzlich unerwähnt bleiben alternative PDF-Anwendungen wie etwa Sumatra PDF oder Foxit Reader.

Kopfschüttelnd dürfte die Passage des BSI zur E-Mail-Nutzung auslösen. Während Privatnutzer einen Hinweis auf die E-Mail-Clients von Microsoft und Mozilla erhalten, fehlt dieser in dem Dokument für Selbständig und kleine Firmen komplett. Andere kostenlose E-Mail-Clients verschweigt das BSI auch an dieser Stelle konsequent.

Genaue Anleitungen fehlen

Allgemein fällt auf, dass beide Empfehlungen sehr vage bleiben und es an genauen Anleitungen fehlt. Damit sind die Webseiten des BSI nur bedingt eine Hilfe, weil sie vielfach mehr Fragen aufwerfen als sie beantworten. Zudem gelten die BSI-Empfehlungen oftmals ausschließlich für Windows 7. So wird die in Windows 7 enthaltene Backup-Funktion empfohlen, für ältere Windows-Versionen wird keine Alternative vorgeschlagen.

Quelle : www.golem.de

[dvb_ss2]

Das ist nicht nur lückenhaft. Wer das verbrochen hat, tstststs?!?

Der Abschuss ist dann noch der Schluss zum Thema PC-Entsorgung. Viele Leute wissen bis heute noch nicht was Linux sein soll, die wissen ja teilweise noch nicht einmal, welche Windows-Version auf dem eigenen PC läuft, was ein Browser ist...

Aber egal, ich sehe das mit einem leichten Schmunzeln.

dvb_ss2

[SiLæncer]

Windows-Systeme soll man stets auf dem aktuellen Stand halten, beim Browser greift man am besten zu Google Chrome, auf Java verzichtet man möglichst ganz – das predigen sowohl c't als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Was dieses einfache Schutzkonzept tatsächlich bringt, belegt eine vom BSI durchgeführte Untersuchung: Das Bundesamt hat mit zwei Windows-Rechnern insgesamt 100 Webseiten besucht, auf denen sogenannte Drive-by-Downloads lauerten – also Schadcode, der vor allem durch Ausnutzen von Sicherheitslücken verbreitet wird.

Der ganze Artikel

Quelle : www.heise.de

[dvb_ss2]

An den Anleitungen hat sich auch nur unwesentliches getan. Immerhin wird mittlerweile LibreOffice genannt.

Trotzdem:
Für einen 0815 PC-Nutzer, sind die Anleitungen unbrauchbar!

dvb_ss2

[Jürgen]

Stimmt.
Es fehlt vor allem ein an sich banaler Hinweis, dass man diverse immer wieder angebotene Browser-Plugins eigentlich gar nicht braucht.

So kann ich absolut nicht nachvollziehen, warum z.B. PDF, Word- oder Exel-Dokumente überhaupt direkt im Browser geöffnet werden sollten, statt heruntergeladen und in Ruhe später betrachtet.
Das würde einem Antivirenprogramm die Arbeit nicht unerheblich erleichtern.
Auch ein Java-Plugin braucht fast niemand, selbst wenn Java auf seinem Rechner irgendwie benötigt wird.

Allerdings erschweren auch Software-Lieferanten diese Geschichte zunehmend, indem sie z.B. in den Standard-Einstellungen ihrer Installationen ungefragt Browser-Plugins aktivieren, anstatt das nur auf Nachfrage und Wunsch zu tun. Das halte ich für genau so fragwürdig wie die oft leicht zu übersehende und bei jedem Update immer wieder aufgenötigte Mitinstallation von Toolbars und ähnlichem Dreck...
Auch manche Anbieter alternativer Software für Standardanwendungen treiben inzwischen diesen Blödsinn  

Ganz sicher darf davon ausgegangen werden, dass derlei bei Apps für 8 überhaupt nicht besser wird, sondern eher noch viel schlimmer, weil man "natürlich" die Nutzer einer extrem schlicht gekachelten Grobmotoriker-Oberfläche für schlichte Gemüter nicht mit "komplizierten" Nachfragen bremsen will.
Intuitiv naiv per Fingerwisch 'ne App geholt, sogleich das komplette System leck geschlagen...

Ein ausgewachsenes Windows ist nämlich auch für seine Hersteller weit schwieriger robust zu halten (oder wenigstens irgendwann zu machen), als ein schon aus Platzgründen eher kompakt bis kärglich gehaltenes Smartphone-Betriebssystem.
Was nicht drin ist, geht auch nicht kaputt...

Jürgen

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Online-Werbung, mit der schädlicher JavaScript-Code ausgeliefert werde. Offenbar nutzen Angreifer seit kurzem verstärkt eine Sicherheitslücke im Advertising-Server OpenX, die bereits länger bekannt ist. Das BSI habe in den letzten Tagen zunehmend kompromittierte OpenX-Server identifiziert, die Werbung auf deutschsprachigen Webseiten ausliefern. Die Betreiber der Server seien informiert worden, es sei jedoch davon auszugehen, dass noch viele weitere OpenX-Server betroffen sind.

Diese OpenX-Server liefern mit den Werbebannern JavaScript-Code aus, der auf Exploit-Kits verweist. Diese nutzen unter anderem die kürzlich bekannt gewordenen Schwachstellen in Java und in Microsofts Internet Explorer aus, für die es mittlerweile Patches gibt. Sind die Lücken nicht geschlossen, soll es möglich sein, Schadprogramme auf den PCs der Besucher von Webseiten zu installieren, auf denen Werbebanner von kompromittierten OpenX-Servern eingeblendet werden.

Quelle : www.heise.de

[Jürgen]

Da es offenbar keine öffentlichen Informationen über solche betroffenen Dreckschleudern zu geben scheint, gibt es wohl nur noch eine Alternative, ganz brutal Adblocker einsetzen.

Und den Browserschmieden sei ganz dringend angeraten, endlich Optionen einzubauen, die Javascript von außerhalb der angesteuerten Domain gänzlich auszuschalten erlauben.
Die bekannten Täuschungsversuche z.B. mit verfälschten Schließen-Knöpfen und Fokus-Manipulationen von Popups sind nämlich kaum weniger übel  

Und ich werde wohl einige Zeit damit verbringen festzustellen, wo ich Javascript überhaupt noch wirklich brauche *)
Dann herrscht hier künftig noch strengere Browser-Trennung.

Wo ist bloß das gute alte Kotz-Smiley geblieben, wenn man's mal wieder dringend bräuchte...

Jürgen

*)
eBay gehört leider dazu, Javascript offenbar zwingend benötigt.
Und gerade dort sind Werbeeinblendungen sowohl durch Verkäufer als auch von Dritter Seite die Regel.
Fremde Popups sind zwar nicht erlaubt, aber das hilft nicht aktuell, sondern allenfalls nach Beschwerde.
Und Scripte müssen ja gar nicht immer sichtbar ein Popup öffnen.
Ganz ohne Javascript aber sind etliche wichtige Funktionen der eBay-Seiten nicht nutzbar.

Und bei uns hier geht offenbar die Shout nicht ohne.

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor E-Mails, die einen vermeintlichen ELSTER-Steuerbescheid als Anhang enthalten. Die gezippte Datei "Elster.exe" aus dem Anhang sollte auf keinen Fall ausgeführt werden, da es sich um eine Schadsoftware handelt. Bisher bekannte Absenderadressen sind: finanzamt-online@elster.de, online at elster.de, einkommensteuerbescheid at elster.de, Steuerverwaltung at elster.de.

Die unbekannten Versender der Virenmail behaupten, dass "von Ihrem Finanzamt bzw. Ihrer Steuerverwaltung über das Verfahren ELSTER eine verschlüsselte Zip-Datei zur Abholung bereitgestellt" wurde. Unterzeichnet ist die E-Mail mit "Ihr Finanzamt / Ihre Steuerverwaltung". Elektronische Steuerbescheide werden aber nicht per E-Mail verschickt: Um diese zu empfangen benötigt man spezielle Software.

Der ganze Artikel

Quelle : www.heise.de

[Jürgen]

Um Missverständnissen vorzubeugen:

Die Finanzbehörde versendet sehr wohl E-Mails über die Erstellung eines Steuerbescheides, sofern man dies z.B. per ELSTER angefordert hat.
Darin sind aber weder irgendwelche Anhänge noch Links auf Steuerdaten enthalten.
Der einzige in den vergangenen Jahren dafür verwendete Absender ist benachrichtigung(at)elster.de
Ließe sich aber ggf. auch fälschen...

Sofern eine elektronische Kopie des Steuerbescheids überhaupt möglich ist, gelangt man an diese stets nur in Verbindung mit der zur Erklärung verwendete Software oder ggf. nach Login auf dem elster.de Server.
Natürlich sind diese dann in PDF, weder komprimiert noch verschlüsselt oder gar ausführbar.
Genauso wie die vorher z.B. von ELSTER erstellten Formulare, wie die Kurzerklärung und die unverbindliche Vorausberechnung.

Im Laufe von 2013 sind Änderungen zu erwarten, z.B. eine elektronische Authentifizierung betreffend.
Mehr dazu natürlich auf elster.de

Rechtsverbindlich ist ein Steuerbescheid aber immer nur in Papierform.
Darauf weist auch ELSTER ausdrücklich hin.

Und nicht vergessen, noch ist es ohnehin zu früh im Jahr, denn alle erforderlichen Module für ELSTER stehen erst voraussichtlich Ende Februar zur Verfügung.
So sollte man mit einem Bescheid wirklich noch nicht rechnen, solange die Zeitmaschine noch nicht erfunden ist 

Jürgen

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell vor einer großflächigen Verteilung von Malware über herkömmliche Werbebanner. Die Infektion erfolgt über bekannte Schwachstellen in Java, Adobe Reader, Adobe Flash oder Microsoft Internet Explorer.

Infektion beim Website-Besuch

Besonders brisant: Das Anklicken der mit schädlichem JavaScript-Code manipulierten Anzeigen ist laut BSI nicht notwendig. Bereits der Besuch einer Website mit derartigen Bannern genüge bei anfälligen Systemen, um den Computer zu kompromittieren (Drive-by-Infektion). Betroffen sind demnach zudem keineswegs etwa zwielichtige Adressen im Netz, sondern viele bekannte und teils populäre deutschsprachige Websites - etwa Online-Angebote von Nachrichten-, Politik-, Lifestyle- und Fachmagazinen, Tageszeitungen, Jobbörsen sowie Städteportale.

Der ganze Artikel

Quelle: www.onlinekosten.de

[Jürgen]

Konsequenzen wurden hier schon gezogen.

Für Zugriffe auf's Bankkonto verwende ich in letzter Zeit nur noch einen portablen Browser, ohne jegliche Plugins.
Und nicht auf dem Rechner installiert, sondern auf einem USB 3.0 Stick.
Dieser Browser wird zudem einzig und allein dafür verwendet.
Der Stick befindet sich ansonsten natürlich am Mann und nicht am PC.
Ein Backup befindet sich für alle Fälle auf einem zweiten sicher verwahrten Stick.
Gelegentlich erforderliche Updates erfolgen dann auch (abwechselnd) direkt auf die Sticks, nach kurzer Sicherheitskopie des jeweiligen Profilordners, auch nur auf dem Stick.

Meine Bank verwendet auf ihrem Online-Banking-Portal glücklicherweise keine Werbebanner.
Dennoch handhabe ich die Einstellungen dieses Browsers äußerst restriktiv, eben genau passend für diese einzige Aufgabe.  

Und zu guter Letzt nutze ich Online-Banking überhaupt nur zu Kontrollzwecken, aber keinesfalls für Zahlungen.
TANs habe ich mir noch niemals geholt, denn nicht weit von hier gibt es mehrere Überweisungsautomaten, die ich ggf. selbst mitten in der Nacht nutzen kann.
Und für deren Sicherheit bin ich definitiv nicht verantwortlich

Jürgen

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor einer Hintertür in der Online-Werbe-Software OpenX Ad gewarnt. OpenX ist eine breit eingesetzte Software zur Verwaltung und Auslieferung von Werbebannern auf Webseiten. Die entdeckte Hintertür in der aktuellen Version 2.8.10 des OpenX-Ad-Servers ermögliche einem Angreifer, aus der Ferne beliebigen Programmcode der Skriptsprache PHP auf dem betroffenen Servern auszuführen.

Schwachstelle wird bereits ausgenutzt

Die Hintertür war nach Angaben des BSI von einem Leser des IT-Fachmediums "heise security" entdeckt und anschließend vom dem Bundesamt bestätigt worden. Sie werde bereits von Angreifern ausgenutzt.

Der Hersteller der OpenX-Software habe die mit der Schadsoftware versehenen Installationspakete von seinem Download-Server entfernt und arbeitet nach Erkenntnissen von heise an einer offiziellen Sicherheitsmeldung. "Das BSI geht davon aus, dass die Hintertür bereits seit mehreren Monaten in den Installationspaketen enthalten war."

Das BSI empfiehlt Administratoren von OpenX-Ad-Servern, ihre Systeme zu überprüfen. Am Morgen hatte es bereits eine Warnung vor Vodafone-Routern gegeben.

Quelle : http://www.onlinekosten.de

[SiLæncer]

Das BSI beteiligt sich mit der Aktion "BSI Sicherheitskompass" am diesjährigen europäischen Cybersicherheitsmonat, der im Oktober stattfindet. Zehn Faustregeln hat das Bundesamt für Sicherheit in der Informationstechnik in Zusammenarbeit mit der Polizeilichen Kriminalprävention der Länder aufgestellt:

1. Verwenden Sie sichere Passwörter.
2. Schränken Sie Rechte von PC-Mitbenutzern ein.
3. Halten Sie Ihre Software immer auf dem aktuellen Stand.
4. Verwenden Sie eine Firewall.
5. Gehen Sie mit E-Mails und deren Anhängen sowie mit Nachrichten in Sozialen Netzwerken sorgsam um.
6. Erhöhen Sie die Sicherheit Ihres Internet-Browsers.
7. Vorsicht beim Download von Software aus dem Internet.
8. Sichern Sie Ihre drahtlose (Funk-)Netzwerkverbindung.
9. Seien Sie zurückhaltend mit der Angabe persönlicher Daten im Internet.
10. Schützen Sie Ihre Hardware gegen Diebstahl und unbefugten Zugriff.

Zu den zehn Regeln haben Polizei und BSI weitere Tipps verfasst, um etwa zu beschreiben, wie ein sicheres Passwort aussieht, wie mit voreingestellten Passwörtern verfahren werden sollte und wo Passwörter aufzubewahren sind. Die Tipps werden auch in Videos kurz erklärt. Webseitenbetreiber können den Sicherheitskompass in ihre Seite einbinden und so an der Aktion teilnehmen.

Das BSI weist darauf hin, dass sich laut einer aktuellen Umfrage nur rund die Hälfte der Befragten vom Thema IT-Sicherheit betroffen fühlt. Für über 50 Prozent sei das Thema nur gering bis überhaupt nicht relevant. Besonders der Schutz von mobilen Geräten stehe weniger im Blickpunkt. Während der PC Zuhause mit Antivirensoftware und regelmäßigen Sicherheitsupdates geschützt wird, installieren 40 Prozent der Nutzer auf mobilen Geräten nie Updates.

Der Cybersicherheitsmonat kommt ursprünglich aus den USA und heißt dort National Cyber Security Awareness Month. Er wird dort seit dem Jahr 2004 veranstaltet. Der europäische Cybersicherheitsmonat wird seit 2012 ausgerichtet und maßgeblich von der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) betreut.

Quelle : www.heise.de

[SiLæncer]

Ein "Mindeststandard" muss nicht das sein, was der Begriff nahelegt. Wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine solche Norm definiert, dann handelt es sich zunächst um eine "unverbindliche Empfehlung". So steht es auch mit dem jetzt verlangten Einsatz von TLS 1.2 als Transportverschlüsselung im Internet. Bundesbehörden sollen ab sofort dieses sichere Verfahren in Verbindung mit Perfect Forward Security (PFS) verwenden. PFS verspricht, auch die nachträgliche Entschlüsselung einer mitgeschnittenen Kommunikation zu verhindern. Verbindlich für die Bundesbehörden wird der jetzige Mindeststandard erst nach Zustimmung des IT-Planungsrats und des Bundesinnenministeriums.

Allerdings, so das BSI, könne eine Migration zu TLS 1.2 "kosten- und zeitintensiv sein". Daher rät es, "bis zur Umstellung zusätzliche Schutzmaßnahmen umzusetzen." Das angreifbare TLS 1.0 dürfe weiterhin eingesetzt werden, wenn Abwehrmaßnahmen gegen bekannte Angriffe wie BEAST ergriffen werden.

Bislang unterstützen Opera, Chrome 30 und der Internet Explorer von Microsoft TLS 1.2. Dort muss der Nutzer es jedoch teilweise erst aktivieren. Die Firefox-Entwickler arbeiten seit längerer Zeit daran, Safari auf Mac OS X nutzt immer noch TLS 1.0. Die iOS-Version des Browsers hingegen nutzt Version 1.2. Auch das dürfte den vom BSI geforderten Umstieg auf TLS 1.2 "auf beiden Seiten der Kommunikationsverbindung" erschweren.

Quelle : www.heise.de

[SiLæncer]

Die Web-Seiten des Bundes und insbesondere des BSI erzwingen eine Verschlüsselung, die die NSA wohl knacken kann. Dabei sollten es gerade die Experten des Bundesamtes für Sicherheit in der Informationstechnik eigentlich besser wissen.

Wie ein einfacher Test mit dem Open-Source-Tool sslscan enthüllt, unterstützen Server wie der des BSI und BSI für Bürger nur vier Verfahren zur Verschlüsselung:

# sslscan www.bsi.de | grep Accepted
    Accepted  SSLv3  128 bits  RC4-SHA
    Accepted  SSLv3  128 bits  RC4-MD5
    Accepted  TLSv1  128 bits  RC4-SHA
    Accepted  TLSv1  128 bits  RC4-MD5

Alle vier erfordern eine Verschlüsselung mit RC4, die man heutzutage eigentlich nicht mehr einsetzen sollte. "Die Stromchiffre RC4 hat bekannte kryptographische Schwächen" erklärt das BSI in seiner sehr guten Technischen Richtlinie für Kryptographische Verfahren. Die folgende Einschätzung, dass diese "nicht zu praktischen Angriffen führen" darf allerdings mittlerweile als überholt gelten. Nach aktuellen Erkenntnissen sollte man vielmehr davon ausgehen, dass die NSA die RC4-Verschlüsselung in Echtzeit knacken kann.

Der ganze Artikel

Quelle : www.heise.de